Gonzalo Martin Valdivia Benites
De esta edición
© Universidad Continental, Modalidad Virtual Av. San Carlos 1980, Huancayo-Perú Teléfono: (51 64) 481-430 anexo 7361 Correo: [email protected] http://virtual.ucontinental.edu.pe/
Dirección: Emma Barrios Ipenza Edición: Eliana Gallardo Echenique Asistente de edición: Andrid Poma Acevedo Asesoría didáctica: Karine Bernal
Corrección de estilo: Corina Delgado Morales Diseño y diagramación: Francisco Rosales Guerra
Todos los derechos reservados. Cada autor es responsable del contenido de su propio texto.
Este manual autoformativo no puede ser reproducido, total ni parcialmente, ni registrado en o transmitido por un sistema de recuperación de información, en ninguna forma ni por ningún medio sea mecánico, fotoquímico, electrónico, magnético, electro-óptico, por fotocopia, o cualquier otro medio, sin el permiso previo de la Universidad Continental.
INTRODUCCIÓN 7
COMPETENCIA DE LA ASIGNATURA 8
UNIDADES DIDACTICAS 8
TIEMPO MINIMO DE ESTUDIO 8
UNIDAD I: INTRODUCCIÓN A LA AUDITORIA DE SISTEMAS 9
DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD I 9
ORGANIZACIÓN DE LOS APRENDIZAJES 9
TEMA N.° 1: VISIÓN DE LA AUDITORIA DE SISTEMAS 11
INTRODUCCIÓN 11
1 Visión de la Auditoria 11
2 Estándares de ISACA 13
3 El riesgo como elemento clave de la Auditoria de Sistemas 15
TEMA N.° 2: EL PROCESO DE LA AUDITORIA DE SISTEMAS 17
INTRODUCCIÓN 17
1 Planeamiento de la Auditoria 17
2 Programa de Auditoria. 18
INTRODUCCIÓN 23
1 Formulación de los Hallazgos de Auditoria 23
2 Formulación de las Recomendaciones 26
3 Formulación del Informe de Auditoria 26
TEMA N.° 4: MARCOS DE REfERENCIA DE AUDITORIA DE SISTEMAS 33
INTRODUCCIÓN 33
1 Regulaciones Internas 33
2 Regulaciones externas 35
ACTIVIDAD N.° 1 42
CONTROL DE LECTURA Nº 1 42
GLOSARIO DE LA UNIDAD I 43
BIBLIOGRAfÍA DE LA UNIDAD I 43
AUTOEVALUACIÓN DE LA UNIDAD I 44
UNIDAD II: AUDITORIA AL GOBIERNO y GESTIÓN DE TI 47
DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD II 47
ORGANIZACIÓN DE LOS APRENDIZAJES 47
2 Practicas Gerenciales de Gestión de TI 49
3 Auditoria al Gobierno y a la Gestión de TI 58
LECTURA SELECCIONADA N.° 1: 60
TEMA N.° 2: CONTINUIDAD DE NEGOCIO y RECUPERACIÓN DE DESASTRES 61
INTRODUCCIÓN 61
1 Gestión de la Continuidad de Negocio 61
2 Planeación a la Continuidad de Negocio y Recuperación de Desastres 63
3 Auditoria a la Continuidad de negocio 67
LECTURA SELECCIONADA N.° 2 68
ACTIVIDAD N.° 2 68
PARTICIPA EN EL fORO DE DISCUSIÓN SOBRE LAS “PRáCTICAS GERENCIALES EN EL áREA DE SISTEMAS”. 68
TAREA ACADEMICA N.° 1 68
GLOSARIO DE LA UNIDAD II 69
BIBLIOGRAfÍA DE LA UNIDAD II 69
UNIDAD III: AUDITORÍA AL CICLO DE VIDA DE DESARROLLO DE SOfTwARE 73
DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD III 73
ORGANIZACIÓN DE LOS APRENDIZAJES 73
TEMA N.° 1: ETAPAS DEL CICLO DE VIDA 74
INTRODUCCIÓN 74
1 Ciclo de Vida de Desarrollo de Software 74
2 Controles de Entrada, procesamiento y Salida 78
TEMA N.° 2: MANTENIMIENTO DE SISTEMAS 81
INTRODUCCIÓN 81
1 Mantenimiento de Sistemas 81
2 Procedimiento de Control de Cambios. 81
3 Implantación de cambios 82
4 Documentación 82
5 Cambios de emergencia. 82
6 Razones por las que suceden los cambios no autorizados 82
TEMA N.° 3: APLICACIONES DE NEGOCIO 84
INTRODUCCIÓN 84
1 Aplicaciones de Negocio Verticales 84
TEMA N.° 4: AUDITORIA AL CICLO DE VIDA 88
INTRODUCCIÓN 88
1 Auditoria al Ciclo de Vida 88
2 Auditoria al Mantenimiento de Sistemas 90
LECTURA SELECCIONADA N.° 2: 90
CONTROL DE LECTURA Nº 2 91
GLOSARIO DE LA UNIDAD III 91
BIBLIOGRAfÍA DE LA UNIDAD III 91
AUTOEVALUACIÓN DE LA UNIDAD III 92
UNIDAD IV: AUDITORÍA A LA SEGURIDAD DE LA INfORMACIÓN 95
DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD IV 95
ORGANIZACIÓN DE LOS APRENDIZAJES 95
TEMA N.° 1: SEGURIDAD DE LA INfORMACIÓN 96
INTRODUCCIÓN 96
1 Seguridad de la Información 96
2 Seguridad Informática 98
TEMA N.° 2: CONTROLES DE SEGURIDAD I 99
INTRODUCCIÓN 99
1 Gestión de Accesos 99
2 Criptografía 102
LECTURA SELECCIONADA Nº 1: 104
ACTIVIDAD N.° 4 104
TEMA N.° 3: CONTROLES DE SEGURIDAD II 105
INTRODUCCIÓN 105
1 Seguridad en Internet 105
2 Seguridad del Cloud 106
3. Seguridad de Móviles. 108
2 Auditoria a los controles de Seguridad. 110
LECTURA SELECCIONADA Nº 2: 112
TAREA ACADEMICA Nº 2 112
GLOSARIO DE LA UNIDAD IV 112
BIBLIOGRAfÍA DE LA UNIDAD IV 112
AUTOEVALUACIÓN DE LA UNIDAD IV 113
INTRODUCCIÓN
B
ienvenido al curso de Auditoria de Sistemas!En este curso Ud. aprenderá los conceptos y las técnicas más relevantes para realizar Auditorías de Sistemas.
La Auditoria de Sistemas es una de las ramas de Tec- nologías de Información más importantes, retadoras y excitantes y al mismo tiempo es una de las ramas menos conocidas y también ¿por qué no decirlo?, la Auditoria de Sistemas es una rama muy rentable.
La asignatura sigue las mejores prácticas de la Infor- mation Systems Audit and Control Association(ISACA) que es la institución mundial más importante en Audi- toria de Sistemas.
La asignatura está estructurado en 4 Unidades:
La primera Unidad está enfocada en el proceso de Au- ditoria. En este parte Ud. aprenderá los conceptos bá- sicos y el proceso a seguir para realizar Auditorías de Sistemas.
También Ud. aprenderá a redactar Hallazgos de Audi- toria así como informes de Auditoria, donde expresa su opinión con respecto a una determinada materia o situación. L finalizar e esta Unidad revisaremos los prin- cipales Marcos de referencia de auditoria tanto naciona- les como internacionales que utilizan los Auditores en la ejecución de su Auditoria.
En la Unidad II revisaremos la Auditoria al Gobierno y Gestión de TI. En esta parte revisaremos el Gobierno Corporativo y el Gobierno de TI, las diferencias entre
Gobierno y gestión de TI, las Practicas Gerenciales de Gestión de TI y la forma de ejecución de Auditorias al Gobierno y a la Gestión de TI.
Un punto importante a recalcar en esta Unidad es que aprenderemos a Auditar los procesos de Continuidad de Negocio y Recuperación de Desastres, como un asunto vital para la supervivencia de las organizaciones que cada dia dependen más de las T.I.
En la Unidad III tendremos la Auditoria al Ciclo de Vida de desarrollo de Software. Aquí revisaremos las Etapas del ciclo de vida de Desarrollo de Software, así como los controles que todo software debe implementar. Por otro lado estudiaremos los procedimientos de Mantenimien- to de Sistemas y revisaremos algunas aplicaciones de Negocio específicas que los Auditores suelen revisar. Al finalizar esta Unidad revisaremos la Auditoria al Ciclo de Vida de Desarrollo de Software y al Mantenimiento de Software.
En la última Unidad nos enfocaremos en la Auditoria a la Seguridad de la Información. Revisaremos las técni- cas y procedimientos de Seguridad de la Información y Seguridad Informática, enfocándonos en temas como encriptación, control de acceso, seguridad de Internet, Cloud, Móviles, entre otros. Finalizaremos esta Unidad con la Auditoria a la seguridad de la información Espero que el curso sea de su provecho y que el conte- nido aporte su granito de arena para que lo ayude a Ud.
en un profesional más completo. ¿Y por qué no? Este curso puede descubrir que Ud. podría ser un excelente Auditor de Sistemas.
Diagrama Objetivos Inicio
Desarrollo
de contenidos Actividades Autoevaluación
Lecturas
seleccionadas Glosario Bibliografía
Recordatorio Anotaciones
PRESENTACIÓN DE LA ASIGNATURA
COMPETENCIA DE LA ASIGNATURA
Realizar de manera efectiva procesos de auditoría de sistemas a la organización, procesos y soluciones tecnológicas existentes en las áreas de Sistemas, a través de la identificación de los riesgos asociados a las tecnologías de información en las organizaciones de hoy; aplicando los principales estándares, normas, metodologías y mejores prácticas a nivel mundial en auditoria de sistemas.
UNIDADES DIDACTICAS
UNIDAD I UNIDAD II UNIDAD III UNIDAD IV
Introducción a la Auditoria de
Sistemas Auditoria al Gobierno y Gestión
de TI Auditoria al Ciclo de Vida de
desarrollo de Software Auditoria a la seguridad de la información
TIEMPO MINIMO DE ESTUDIO
UNIDAD I UNIDAD II UNIDAD III UNIDAD IV
1era. Semana y 2da. Semana
16 horas
3era. Semana y 4ta. Semana
16 horas
5ta. Semana y 6ta. Semana
16 horas
7ma. Semana y 8va. Semana
16 horas
Desarrollo
de contenidos Actividades Autoevaluación
Lecturas
seleccionadas Glosario Bibliografía
Recordatorio Anotaciones
UNIDAD I: INTRODUCCIÓN A LA AUDITORIA DE SISTEMAS
Diagrama Objetivos Inicio
Desarrollo
de contenidos Actividades Autoevaluación
Lecturas
seleccionadas Glosario Bibliografía
Recordatorio Anotaciones
DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD I
ORGANIZACIÓN DE LOS APRENDIZAJES
CONOCIMIENTOS PROCEDIMIENTOS ACTITUDES
Video de presentación de la asignatura Unidad I: Introducción a la Auditoria de Sistemas
1° Videoclase (Video conferencia)
Tema N.° 1: Tema 1 1. Visión de la Auditoria 2. Estándares de ISACA
3. El riesgo como elemento clave de la Audi- toria de Sistemas
Tema N.° 2: El proceso de Auditoria de Sistemas
1. Planeamiento de Auditoria 2. Programa de Auditoria Lectura seleccionada 1
Título: Auditoria de Sistemas. Disponible en:
http://www.gerencie.com/auditoria-de-siste- mas.html
1. Infiere los procedimientos de auditoría a aplicar.
2. Participa en la definición de los controles para minimizar riesgos.
3. Identifica las diferentes actividades en la ejecución de la Auditoria
4. Identifica las diferentes actividades en la planificación de la Auditoria
5. Identifica las diferentes actividades en la ejecución de la Auditoria
Actividad N.° 1
Participan en el Foro de discusión sobre “Los riesgos originados por el uso de las Tecnolo- gías de Información en las organizaciones”.
1. Valora la importancia de la ejecución de la auditoria de sistemas.
2. Se auto valora por su aprendizaje de las técnicas de auditoria de siste-mas.
3. Asume el compro-miso de revisar los contenidos del manual.
4. Valora la importancia de la auditoria de sistemas para el mejora-miento de una empresa y para las actividades o procesos a realizar.
5. Participa activa-mente en el desarrollo de las actividades de la asignatura.
CONTENIDOS
AUTOEVALUACIÓN
EJEMPLOS
BIBLIOGRAfÍA
ACTIVIDADES
2° Videoclase
Tema N.° 3: Hallazgos y observaciones de Auditoria
1. Formulación de los hallazgos de Audito- ria
2. Formulación de recomendaciones para minimizar los riesgos identificados 3. Formulación del Informe de Auditoria
Tema N.° 4: Marcos de referencia de audi- toria
1. Marcos Internacionales: CobiT, Familia ISO 27001.
2. Marcos Nacionales: Contraloría General de la República, Superintendencia de Banca y Seguros.
Lectura seleccionada 2
Título: CobiT5-Introduction-Spanish.
Disponible en: www.isaca.org/COBIT/Docu- ments/COBIT5-Introduction-Spanish.ppt Autoevaluación Nº 1
1. Identifica el riesgo y escribe hallazgos de auditoria.
2. Analiza y utiliza lo explicado en un caso práctico.
3. Identifica los estándares, las directrices y las prácticas relacionadas.
4. Identifica leyes, regulaciones y están-dares relevantes.
5. Utiliza los marcos de referencia en los hallazgos de auditoria.
Control de Lectura Nº 1
Formula Observaciones de Auditoria del caso “Auditoria de Sistemas en una empresa regional”.
TEMA N.° 1: VISIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
Este tema está preparado para que tengas tu primer contacto con la Auditoria de Sistemas. En este primer tema toca- remos los puntos más importantes de la Auditoria de Sistemas.
1 VISIÓN DE LA AUDITORIA
1.1 ¿Qué es la Auditoria?
La Auditoria es un proceso sistemático de evaluación post-mortem y de formación de opinión sobre una determinada materia o situación. Para nuestro caso sobre una materia o situación relacionada a Tecnología de Información tal como un Sistema Informático, una Base de datos, una Infraestructura tecnológica, unos Servidores, la gestión del Ge- rente de TI, un proceso de atención de soporte técnico a usuarios, etc.
Este proceso es realizado por los Auditores quienes son profesionales que se encargan de realizar la evaluación y en función su evaluación forma una opinión sobre dicha materia o situación.
Aquí vale la pena mencionar que las auditorias también pueden ser previas o durante la ejecución de una determinada materia o situación.
1.2 Tipos de Auditoria
Existen muchos tipos de Auditoria. Entre las principales tenemos:
• Financieras. En estas Auditorias el Auditor forma una opinión si los estados financieros (balance general, de una empresa reflejan la realidad financiera de la empresa.
• Operacionales. En estas Auditorias Operacionales se forma una opinión de la efectividad de los controles operati- vos de los procesos de una compañía. Por ejemplo compras, ventas, producción, etc.
• Cumplimiento. En las Auditorias de Cumplimiento, se forma una opinión de si una empresa cumple con las leyes y regulaciones que está obligada a cumplir.
• Sistemas. En las Auditorias de Sistemas, el Auditor forma una opinión de la efectividad de los controles tecnológi- cos para minimizar los riesgos por el uso de la tecnología.
Las Auditorias Financieras se realizan al menos una vez al año. Muchas entidades reguladoras exigen que se realicen Auditorias Financieras. Por ejemplo la Superintendencia de Mercado de Valores (SMV) exige que se realicen audito- rias financieras a las compañías que cotizan en la Bolsa. Asimismo la Contraloría General de la Republica (CGR) exige que las Entidades del Estado realicen una auditoria una vez al año. La Superintendencia de Banca, Seguros y AFP (SBS) audita que los Bancos e Instituciones Financieras al menos una vez al año.
En el Perú, es frecuente encontrar las auditorias de Sistemas como parte de las Auditorias Financieras.
Las Auditorias de Sistemas no son tan frecuentes y normalmente son realizadas cuando hay algún problema en el área de TI, o cuando un nuevo Gerente de TI la solicita para tomar conocimiento de la situación que recibe.
1.3 Auditoria Interna vs. Auditoria Externa.
Las Auditorias pueden ser internas o externas en función de quien realiza la Auditoria. Así tenemos:
• Auditoria Interna. Una Auditoria es considerada Interna cuando el Auditor o equipo de Auditoria labora dentro de la misma compañía. En una Auditoria Interna se tiene la ventaja del nivel de profundidad de la auditoria. Dado que
12
UNIDAD I: INTRODUCCIÓN A LA AUDITORIA DE SISTEMASlos Auditores son internos tienen la ventaja de conocer el negocio y pueden realizar auditorías más detalladas. Una desventaja podría ser que en caso hubiese algún tipo de relación entre el Auditor y la materia auditada, el Auditor perdería su independencia.
En Perú los Auditores internos laboran en el área de Auditoria Interna. En las Entidades del Estado laboran en las Oficinas de Control Interno (OCI).
• Auditoria Externa. En este caso, el Auditor o equipo de Auditoria pertenece a una compañía externa que tiene una experiencia amplia por haber auditado muchas compañías de diversos rubros. Como una desventaja se tiene que la Auditoria Externa podría ser menos detallada ya que normalmente cuentan con un periodo de tiempo reducido (semanas o pocos meses) para realizar la revisión.
1.4 Las Big Four.
Cuando una empresa requiere realizar una Auditoria Externa, es muy frecuente que las compañías contraten a una de las llamadas Big Four para que realicen la Auditoria.
Se llama Big Four al conjunto de las 4 compañías internacionales más prestigiosas en el campo de la auditoria, tal como se muestra en el gráfico 1.
Figura 1. Las Big Four.
Si te interesa saber más de estas compañías, puedes obtener más información en las siguientes direcciones:
• Deloitte: http://www2.deloitte.com/pe/es/services/auditoria.html?icid=top_auditoria
• Price Waterhouse Coopers:
• http://www.pwc.com/pe/es/servicios/assurance.html
• Ernst & Young: http://www.ey.com/PE/es/Services/Assurance
• KPMG: http://www.kpmg.com/pe/es/servicios/audit/paginas/default.aspx
1.5 ¿Qué es la Auditoria de Sistemas?
La Auditoria de Sistemas se refiere a la Auditoria de materias o situaciones relacionadas a las Tecnologías de Informa- ción.
El auditor de Sistemas tiene el “negocio” de encontrar riesgos. Veamos un ejemplo: Imagina que te contratan como Auditor de Sistemas de una compañía y al hacer la revisión de un Servidor de Base de Datos (todavía no sabes cómo se hace, no te preocupes aun por eso), encuentras que dicho Servidor no cuenta con Antivirus. También encuentras que la contraseña del super usuario de la Base de datos no ha sido cambiada desde hace 3 años y encuentras que al Sistema Operativo nunca se le han instalado parches del fabricante (Imagina que es un Windows Server).
¿Estas 3 situaciones que encontraste pueden originar riesgos? ¿Se cuenta con los controles adecuados para minimizar los riesgos? ¿O todo lo contrario? ¿Qué opinión te vas formando de esta situación? Ese es el trabajo del Auditor de Sistemas: encontrar situaciones que originan riesgos.
9 1.3 Auditoria Interna vs. Auditoria Externa.
Las Auditorias pueden ser internas o externas en función de quien realiza la Auditoria. Así tenemos:
Auditoria Interna. Una Auditoria es considerada Interna cuando el Audi- tor o equipo de Auditoria labora dentro de la misma compañía. En una Auditoria Interna se tiene la ventaja del nivel de profundidad de la audi- toria. Dado que los Auditores son internos tienen la ventaja de conocer el negocio y pueden realizar auditorías más detalladas. Una desventaja podría ser que en caso hubiese algún tipo de relación entre el Auditor y la materia auditada, el Auditor perdería su independencia.
En Perú los Auditores internos laboran en el área de Auditoria Interna.
En las Entidades del Estado laboran en las Oficinas de Control Interno (OCI).
Auditoria Externa. En este caso, el Auditor o equipo de Auditoria perte- nece a una compañía externa que tiene una experiencia amplia por ha- ber auditado muchas compañías de diversos rubros. Como una desven- taja se tiene que la Auditoria Externa podría ser menos detallada ya que normalmente cuentan con un periodo de tiempo reducido (semanas o pocos meses) para realizar la revisión.
1.4 Las Big Four.
Cuando una empresa requiere realizar una Auditoria Externa, es muy fre- cuente que las compañías contraten a una de las llamadas Big Four para que realicen la Auditoria.
Se llama Big Four al conjunto de las 4 compañías internacionales más pres- tigiosas en el campo de la auditoria, tal como se muestra en el gráfico 1.
Gráfico N° 1 – Las Big Four.
Si te interesa saber más de estas compañías, puedes obtener más informa- ción en las siguientes direcciones:
Deloitte:
http://www2.deloitte.com/pe/es/services/auditoria.html?icid=top_auditoria
Price Waterhouse Coopers:
http://www.pwc.com/pe/es/servicios/assurance.html
Ernst & Young:http://www.ey.com/PE/es/Services/Assurance
KPMG: http://www.kpmg.com/pe/es/servicios/audit/paginas/default.aspx
1.5 ¿Qué es la Auditoria de Sistemas?
La Auditoria de Sistemas se refiere a la Auditoria de materias o situaciones relacionadas a las Tecnologías de Información.
El auditor de Sistemas tiene el “negocio” de encontrar riesgos. Veamos un ejemplo: Imagina que te contratan como Auditor de Sistemas de una com- pañía y al hacer la revisión de un Servidor de Base de Datos (todavía no sa- bes cómo se hace, no te preocupes aun por eso), encuentras que dicho Ser-
2 ESTáNDARES DE ISACA
2.1 ISACA
Los Auditores de Sistemas están agrupados en gremios profesionales. A nivel mundial una de las instituciones más prestigiosas es la Information System Audit and Control Association (ISACA).
ISACA es una institución con Sede en Chicago, Estados Unidos, que agrupa a los profesionales de auditoria, control, riesgo y gobierno de TI. Te invito a que le des un vistazo a esta institución. Puedes encontrar más información en http://www.isaca.org
Asimismo ISACA es uno de las entidades certificadoras de profesionales más importantes del mundo. Actualmente, ISACA ofrece 4 certificaciones, las cuales son:
• CISA (Certified Information Security Auditor)
• CISM (Certified Information Security Manager)
• CGEIT (Certified in the Governance of Enterprise IT)
• CRISC (Certified in Risk and Information Systems Control)
Para Auditoria de Sistemas, evidentemente la Certificación que nos sirve es la CISA. Si a lo largo del curso, descubres que la Auditoria de Sistemas te interesa y ves que tienes competencias para identificar riesgos, entonces tu podrías ser un futuro Auditor CISA. En la figura adjunta te muestro como es un certificado CISA:
Figura 2. Muestra de un Certificado CISA.
Encontraras más información de la certificación CISA en: http://www.isaca.org/Certification/CISA-Certified-Infor- mation-Systems-Auditor/Pages/default.aspx
2.2 Estándares de ISACA
ISACA cuenta con un framework de Auditoria de Sistemas denominado “A Professional practices Framework for IS Audit/Assurance”, más conocido como el framework ITAF.
A continuación, vamos a detallar los estándares más relevantes para nuestro curso.
• Estándar 1003 Independencia profesional. El estándar indica textualmente que: “Los profesionales de auditoría y ase- guramiento de SI deben ser independientes y objetivos, tanto en actitud como en apariencia, en todos los asuntos relacionados con las asignaciones de auditoría y aseguramiento”. Esto significa que no debe haber ninguna relación entre al Auditor y la materia que se está auditando. Por ejemplo, imagínate que estas auditando una compañía y tu esposa trabaja para dicha compañía. En este caso podría afectarse tu independencia. Si encuentras muchos riesgos, el que pueda estar en riesgo eres tu!. Espérate al llegar a casa!
10
¿Estas 3 situaciones que encontraste pueden originar riesgos? ¿Se cuenta con los controles adecuados para minimizar los riesgos? ¿O todo lo contra- rio? ¿Qué opinión te vas formando de esta situación? Ese es el trabajo del Auditor de Sistemas: encontrar situaciones que originan riesgos.
2. Estándares de ISACA 2.1 ISACA
Los Auditores de Sistemas están agrupados en gremios profesionales. A ni- vel mundial una de las instituciones más prestigiosas es la Information Sys- tem Audit and Control Association (ISACA).
ISACA es una institución con Sede en Chicago, Estados Unidos, que agrupa a los profesionales de auditoria, control, riesgo y gobierno de TI. Te invito a que le des un vistazo a esta institución. Puedes encontrar más información en http://www.isaca.org
Asimismo ISACA es uno de las entidades certificadoras de profesionales más importantes del mundo. Actualmente, ISACA ofrece 4 certificaciones, las cuales son:
CISA (Certified Information Security Auditor)
CISM (Certified Information Security Manager)
CGEIT (Certified in the Governance of Enterprise IT)
CRISC (Certified in Risk and Information Systems Control)
Para Auditoria de Sistemas, evidentemente la Certificación que nos sirve es la CISA. Si a lo largo del curso, descubres que la Auditoria de Sistemas te in- teresa y ves que tienes competencias para identificar riesgos, entonces tu podrías ser un futuro Auditor CISA. En la figura adjunta te muestro como es un certificado CISA:
Figura 2 – Muestra de un Certificado CISA Encontraras más información de la certificación CISA en:
http://www.isaca.org/Certification/CISA-Certified-Information-Systems- Auditor/Pages/default.aspx
• Estándar 1006 Competencia. “Los profesionales de auditoría y aseguramiento de SI, junto con otras personas que ayudan en la asignación, deben poseer las habilidades y la competencia adecuadas para realizar las asignaciones de auditoría y aseguramien- to de SI y ser profesionalmente aptos para realizar el trabajo requerido”. Por ejemplo no podemos hacer una Auditoria de Sistemas a un cajero automático sino tenemos la mínima idea de cómo funciona por dentro. En este caso no somos competentes para realizar la evaluación.
• Estándar 1201 Evaluación de riesgo en planificación: “La función de auditoría y aseguramiento de SI debe utilizar un enfo- que de evaluación de riesgo adecuado y metodología de respaldo para desarrollar el plan completo de auditoría de SI y determinar las prioridades para la asignación efectiva de los recursos de auditoría de SI”. Como dijimos el riesgo es primordial para el Auditor de Sistemas. En función del riesgo se planifica que auditar y con qué prioridad.
• Estándar 1204 Materialidad. “Los profesionales de auditoría y aseguramiento de SI deben considerar las debilidades potenciales o ausencias de controles mientras planifican una asignación y si esas debilidades o ausencias de controles pudieran resultar en una deficiencia significativa o una debilidad material”.
• Estándar 1205 Evidencia: “Los profesionales de auditoría y aseguramiento de SI deben obtener evidencias suficientes y apropia- das para llegar a conclusiones razonables sobre las cuales basar los resultados de la auditoria”. El Auditor siempre se respalda con evidencias, como por ejemplo fotos, videos, actas, documentación, pantallazos, etc.
• Estándar 1207 irregularidad y Actos irregulares: “Los profesionales de auditoría y aseguramiento de SI deben considerar el riesgo de irregularidades y actos ilegales durante la auditoria.
Los profesionales de auditoría y aseguramiento de SI deben mantener una actitud de escepticismo profesional durante la asignación.
Los profesionales de auditoría y aseguramiento de SI deben documentar y comunicar, de manera oportuna, cualquier acto ilegal o irregularidad material a la parte apropiada”. Esto significa que si encontramos una irregularidad o un acto ilegal, estamos en la obligación de obtener la evidencia correspondiente e informarlo, no podemos ignorarlo.
• Estándar 1401 Reportes: “Los profesionales de auditoría y aseguramiento de SI deben proporcionar un reporte para comunicar los resultados al concluir la auditoria, que incluye:
• Identificación de la empresa, los destinatarios previstos y cualquier restricción sobre el contenido y la circulación
• Alcance, objetivos de la asignación, período de cobertura y la naturaleza, los plazos y el alcance del trabajo realizado
• Hallazgos, conclusiones y recomendaciones de la auditoría
• Cualquier calificación o limitación dentro del alcance que el profesional de auditoría y aseguramiento de SI tenga con respecto a la asignación
• Firma, fecha y distribución según los términos del estatuto de la función de auditoría o carta de asignación de auditoría”. Como ves, este estándar nos indica caramente cuales son los entregables de la Auditoria de Sistemas.
• Estándar 1402 Actividades de Seguimiento: “Los profesionales de auditoría y aseguramiento de SI deben monitorear infor- mación relevante para concluir si la dirección ha planeado/tomado la acción oportuna y apropiada para abordar los hallazgos y las recomendaciones de la auditoría reportados”. El seguimiento se refiere a revisar que los auditados hayan ejecutado las recomendaciones de la Auditoria de Sistemas del periodo anterior.
Estos estándares no son los únicos. Una lista completa de los estándares de Auditoria, los puedes encontrar en:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Pages/Stan- dards-for-IS-Audit-and-Assurance-Spanish.aspx
Asimismo, si deseas profundizar en el framework ITAF (en ingles) lo puedes encontrar en:
http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Eng_1014.pdf
3 EL RIESgO COMO ELEMENTO CLAVE DE LA AUDITORIA DE SISTEMAS
3.1 Identificar el riesgo
En la sección 1.5 vimos un ejemplo de 3 situaciones que originan riesgo. Ahora imagina que haces la revisión y no encuentras situaciones de riesgo. Es decir, haces la Auditoria y se “te escapan” estos puntos. Es decir no encuentras las situaciones que originan los riesgos (que en el ejemplo son muy evidentes). ¿Qué opinión te formarías? Se dice que Auditor de Sistemas que no encuentra riesgos, no es Auditor de Sistemas. Por eso es muy importante que aprendamos a identificar los riesgos.
Y lo primero es que debes tener muy presente lo que es el riesgo.
Veamos la definición de la Norma ISO 13335. “El riesgo es la probabilidad que una amenaza se aproveche de una vul- nerabilidad y nos genera un daño”.
Aquí la amenaza es cualquier cosa que tenga el potencial de hacer daño.
La vulnerabilidad es cualquier deficiencia que se tenga.
El daño es el impacto negativo que tenemos si la amenaza se aprovecha de la(s) vulnerabilidad(es). El daño pude ser económico, patrimonial, de imagen, etc.
Volvamos a las tres situaciones identificadas del primer ejemplo. Tenemos que:
• El Servidor no cuenta con Antivirus.
• La contraseña del super usuario de la Base de datos no ha sido cambiada desde hace 3 años y
• Al Sistema Operativo nunca se le han instalado parches del fabricante Descompongamos la primera situación en función de la definición del riesgo:
¿Cuál sería la amenaza? Es evidente que lo que nos puede hace daño aquí es el malware.
¿Cuál sería la vulnerabilidad? La propia inexistencia del Antivirus es la vulnerabilidad.
¿Cuál sería el daño? El ingreso de malware podría originar la inutilización del servidor, el robo de información del servidor, entre otros.
Ahora, veamos la segunda situación:
¿Cuál sería la amenaza? Cualquier persona que tenga acceso al servidor y que conozca o adivine la contraseña es con- siderada una amenaza.
¿Cuál sería la vulnerabilidad? Mantener la misma contraseña es la vulnerabilidad.
¿Cuál sería el daño? El robo o la modificación de la información contenida en el servidor.
Finalmente, veamos la tercera situación:
¿Cuál sería la amenaza? El malware o los criminales informáticos son las amenazas.
¿Cuál sería la vulnerabilidad? El no actualizar los parches del Sistema Operativo
¿Cuál sería el daño? El robo o la modificación de la información contenida en el servidor.
Como vez, en las 3 situaciones se encuentra la amenaza, la vulnerabilidad y el daño.
Los Auditores de Sistemas se enfocan en identificar los riesgos.
3.2 ¿Qué se hace con el riesgo?
Una vez que el riesgo ha sido identificado, el riesgo debe ser tratado.
El término “tratamiento del riesgo” quiere decir que hay que hacer algo con ese riesgo. El tratamiento del riesgo le corresponde al Auditado.
El auditado tiene 4 opciones para trata el riesgo:
• Reducirlo. Cuando se decide reducir (o minimizar) el riesgo, se tiene que hacer algo para que ese riesgo se reduzca.
Por ejemplo mantener actualizado un Sistema Operativo actualizado con los parches que emite el fabricante.
• Transferirlo. En algunas situaciones es posible transferir el riesgo a un tercero. Por ejemplo tercerizar un proyecto de desarrollo de software a un tercero, en lugar de hacerlo nosotros mismos. Otro ejemplo podría ser contratar una póliza de seguros.
• Aceptarlo. Aceptar un riesgo es lo mismo que no hacer nada. Simplemente, se “le acepta”. Ejemplo de esto es seguir sin Antivirus a pesar de que se encontró que un computador esta sin Antivirus.
• Cesar la actividad que da origen al riesgo. A esta opción algunos autores le llaman “eliminar” el riesgo. Por ejemplo, si no se puede instalar un Antivirus (cosa poco probable) siempre queda la alternativa de apagar el computador. Al apagar el computador, estoy cesando la actividad que da origen al riesgo. Pero esta acción ha tenido un costo muy alto. Si bien es cierto que “elimine” el riesgo de infección, también inhabilite el uso del computador.
3.3 Controles
Cuando se decide reducir el riesgo, entonces se requiere de un control que haga ese trabajo. Un control en su término más amplio es cualquier cosa que minimiza un riesgo. Por ejm. escribir un procedimiento, implementar un firewall, instalar un antivirus, ejecutar un respaldo (backup), etc.
Para minimizar los riesgos se pueden implementar varios tipos de controles:
• Preventivos. Siempre se debe preferir este tipo de controles. Su función es detectar problemas antes de que estos ocurran. Por ejemplo una pantalla de usuario y contraseña de acceso a un Sistema o la encriptación de datos sen- sibles.
• Detectivos. Estos controles como su nombre lo indica detectan y reportan la ocurrencia de un incidente, error o situación. Por ejemplo un log de auditoria, una alarma o una función hash.
• Correctivos. Los controles correctivos minimizan el impacto de una amenaza así como corrigen los problemas des- cubiertos por los controles detectivos. Por ejemplo un respaldo (backup) o un plan de contingencias.
El auditor como parte de su trabajo debe recomendar los mejores controles para reducir el riesgo que identificó.
A lo largo del curso te presentaré muchos ejemplos de las diferentes situaciones que evalúan los Auditores de Sistemas y los riesgos que se identifican.
TEMA N.° 2: EL PROCESO DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
Este tema está enfocado en como efectuar una Auditoria de Sistemas. No se trata de auditar lo primero que veamos. Se trata de Auditar en función al riesgo y para ello es esencial la planificación y luego de ella, la ejecución de la Auditoria.
1 PLANEAMIENTO DE LA AUDITORIA
1.1 Planeamiento de la Auditoría de Sistemas
Ahora ya estamos listos para empezar nuestra primera Auditoria. ¿Por dónde empezamos? Pues por el principio. Es decir, por el Planeamiento. El planeamiento adecuado es el primer paso para efectuar auditorías de TI eficaces.
¿Cómo se planifica? Existen 2 tipos de planeamiento:
• Planeamiento a largo plazo. En este planeamiento se define el plan de auditoria anual. El riesgo define que se au- dita primero y que se audita después.
• Planeamiento individual. Este planeamiento se debe hacer para cada Auditoria definida en el punto anterior.
Según ISACA debemos seguir los siguientes pasos para realizar una planificación de Auditoria.
• Comprender el negocio. Esto significa comprender la misión, los objetivos, y los procesos de negocio.
• Revisar los papeles de trabajo anteriores. Esto significa que el Auditor debe revisar todo el trabajo que se ha reali- zado en las auditorias anteriores.
• Entender los cambios en el entorno de negocios del auditado.
• Identificar la estructura organizacional, así como las políticas, normas, procedimientos que le aplican.
• Establecer el alcance y los objetivos de la Auditoria.
• Desarrollar el enfoque de la Auditoria
• Asignar recursos a la Auditoria
• Dirigir la logística de trabajo a la Auditoria.
Por otro lado es imprescindible que el Auditor considere las leyes y regulaciones que aplican a la compañía. Por ejem- plo si vamos a auditar un Banco, entonces hay que entender las regulaciones definidas por la Superintendencia de Banca y Seguros (SBS). Si vamos a auditar una compañía de electricidad hay que identificar la regulación del Orga- nismo Supervisor de la Inversión en Energía y Minería (OSINERGMIN). Si vamos a auditar una compañía telefónica la regulación a identificar será la de Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL).
Debes tener en cuenta que históricamente existen 2 tipos de industria que son altamente regulados: la banca y finanzas y las compañías de telecomunicaciones.
1.2 Ejemplo de planificación de Auditoria.
Veamos un ejemplo de la planificación de manera general. Tenemos que planificar una Auditoria de Sistemas Externa a una compañía de distribución de electricidad ubicada en el sur del país.
• Comprender el negocio. Habíamos dicho que en este punto se debe comprender la misión, los objetivos, y los pro- cesos de negocio. Una forma inicial es ingresar a la página web de la Compañía. En la sección Conócenos o Quienes somos o sección similar del sitio Web se puede obtener la Misión, Visión y alcance de lo que hace la compañía. Por ejemplo de una rápido recorrido a la página Web de nuestra compañía de ejemplo obtuvimos:
Nuestra misión:
“Contribuir con el desarrollo de la región sur, brindando oportunamente productos y servicios eléctricos de calidad a satisfacción del cliente, con personal comprometido; consolidando de manera sostenida la rentabilidad de la empresa”.
Nuestra visión:
“Ser reconocidos como la mejor empresa distribuidora de energía eléctrica en el país”.
Al revisar la misión se indica que brindan productos y servicios eléctricos, los cuales se soportan en el uso de tecnolo- gías de Información, que es donde nos enfocaremos para hacer la Auditoria de Sistemas.
• Revisar los papeles de trabajo anteriores. Esto significa que debemos solicitar el(los) Informe(s) de Auditoria ante- rior(es) y los papeles de trabajo que se utilizaron en dicha(s) auditoria(s). En ese (esos) documento(s) encontrare- mos mucha información que utilizaremos para nuestra planificación.
• Entender los cambios en el entorno de negocios del auditado. Aquí debemos identificar los riesgos a los que está expuesta la compañía y el riesgo al que está expuesta por el uso de la tecnología de la información. Asimismo se debe tener un claro conocimiento de las regulaciones que aplican que para este casos serían las de OSINERGMIN.
• Identificar la estructura organizacional, así como las políticas, normas, procedimientos que le aplican. Para poder planificar debemos tomar conocimiento de del Organigrama de la compañía, como funciona la compañía, que pro- cesos tienen y como operan y tomar conocimiento de todo el conjunto de documentos normativos internos. Este conjunto de documentos lo constituyen las políticas, las normas, las directivas, los estándares, los procedimientos e instructivos. Cada compañía es diferente y los nombres de los tipos de documentos podrían variar.
• Establecer el alcance y los objetivos de la Auditoria. En función a los puntos anteriores, ya tenemos una buena idea de los riesgos de la tecnología y en ese contexto podemos planificar el alcance y los objetivos de la Auditoria.
Recuerda que el alcance es igual a trabajo. Eso significa que debemos decidir que trabajo vamos a realizar. Aquí se decide que vamos a auditar (el alcance) y que queremos lograr con la auditoria (los objetivos).
• Desarrollar el enfoque de la Auditoria. En este punto ya podemos trazar un plan de trabajo con las actividades generales para nuestra Auditoria.
• Asignar recursos a la Auditoria. En este punto se debe determinar el equipo de trabajo que van a realizar la Audito- ria. Es evidente que necesitamos a un Auditor con experiencia en sistemas eléctricos.
• Dirigir la logística de trabajo a la Auditoria. Aquí se ven los recursos que necesitamos para ejecutar la Auditoria.
Dado que se va a ejecutar una auditoria en el sur del país hay que trasladar útiles de oficina, personas lo que significa pasajes, estadía, viáticos y resolver todos los temas como en donde van a trabajar los auditores, la seguridad de la ubicación de los auditores, su equipamiento informático, su conexión y acceso a la red, entre otros.
2 PROgRAMA DE AUDITORIA.
2.1 Fases para la ejecución de la Auditoria.
Una vez que hemos planificado la Auditoria, ya estamos listos para ejecutar la Auditoria. Las Auditorias de Sistemas típicamente siguen las siguientes fases:
• Conocimiento del área / tema de la auditoría.
• Planeamiento detallado de la auditoría
• Revisión preliminar del área a auditar
• Evaluación del área/tema a auditar
• Verificación y evaluación de los controles
• Realización de Pruebas de cumplimiento
• Realización de Pruebas sustantivas
• Formulación del Informe comunicando los resultados
• Seguimiento
2.2 Evidencia de Auditoria.
Es un requisito que las conclusiones del auditor estén basadas en evidencia suficiente y competente. El Auditor que no obtiene evidencia no puede escribir sus hallazgos.
La evidencia debe tener los siguientes atributos:
• Independencia de quien provee la evidencia
• Calidad de quien provee la información o evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia
Asimismo, existen diversas técnicas para recopilar evidencia
• Revisión del organigrama de SI
• Revisión de las políticas, las normas y los procedimientos de SI
• Revisión de la documentación de SI
• Entrevistas a personal clave
• Observación de los procesos y el desempeño del personal
2.3 Ejemplo de un programa de Auditoria.
A continuación revisaremos un programa de Auditoria de la compañía Eléctrica “SuperElectro”.
PROgRAMA DE AUDITORIA I. INTRODUCCION
Naturaleza
La actividad principal de SuperElectro S.A., es la distribución y comercialización de energía eléctrica, en las unidades de concesión otorgadas por el Estado Peruano, así como la generación y transmisión eléctrica en los sistemas aislados, siempre que cuente con las autorizaciones respectivas.
Base Legal
Las normas que rigen a la Entidad son las siguientes:
• Decreto Ley N.° 25844 Ley de Concesiones Eléctricas, publicado el 19 de Noviembre de 1992 y modificatorias.
• Decreto Supremo N.° 009-93-EM Reglamento de la Ley de Concesiones Eléctricas, disposiciones, modificatorias y complemen- tarias.
• Ley N.° 27170 Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado-FONAFE, publicado el 09 de Setiembre de 1999.
• Ley N.° 24948 Ley de la Actividad Empresarial del Estado, publicada el 04 de diciembre de 1988.
• Ley N.° 26734 Ley que crea el Órgano Superior de la Inversión de Energía OSINERGMIN, 1996.
• Ley N.° 26887, Ley General de Sociedades, sus modificatorias y ampliatorias
• Ley N.° 27293, Ley del Sistema Nacional de Inversión Pública.
• Ley N.° 28716 Ley de Control Interno de las Entidades del Estado, publicada el 17 de abril del 2006.
Normas de Tecnologías de Información y Comunicaciones
• Modificación al Plan de Gestión Corporativa de Tecnología de Información y Comunicaciones para las empresas bajo el ámbito de FONAFE (2009-2011) aprobada mediante Resolución de Dirección Ejecutiva Nº 046-2009/DE-FONAFE.
• Aprobar el Nuevo Texto de los Lineamientos para el Uso de las Firmas Digitales e Intercambio Electrónico de Documentos-SIED entre FONAFE y las empresas bajo su ámbito, que en el anexo 1 forman parte del presente acuerdo. Resolución Dirección Ejecu- tiva N.° 027-2011/DE-FONAFE.
• Plan de Gestión Corporativa de Tecnología de Información y Comunicaciones para las empresas bajo el ámbito de FONAFE (2008-2011) aprobada mediante Resolución de Dirección Ejecutiva Nº 059-2008/DE-FONAFE.
• Directiva de uso compartido de software en las empresas bajo el ámbito de FONAFE. Aprobada por Acuerdo de Directorio N.°
004-2007/010-FONAFE.
Estructura del Informe
El informe de Auditoria se ceñirá a lo dispuesto en las Normas de Auditoria Gubernamental; tanto en lo que se refiere a su estruc- tura como a su contenido, para lo cual se deberá tener en cuenta lo siguiente:
I. Introducción.
II. Hallazgos.
III. Conclusiones.
IV. Anexos.
I. INTRODUCCION 1. Origen del examen.
2. Naturaleza y objetivos del examen.
3. Alcance del examen.
4. Antecedentes y base Legal de la Empresa.
5. Comunicación de Hallazgos.
6. Memorándum de Control Interno.
7. Otros aspectos de importancia.
II. HALLAZGOS
Se incluirán hallazgos determinados como consecuencia del trabajo de campo realizado y la aplicación de los procedimientos de Auditoria según nuestro programa de trabajo.
Dichas observaciones serán evaluadas con las respuestas de los hallazgos comunicados a las personas comprendidas en los mismos, así como la documentación y evidencia sustentatoria respectiva.
Estarán referidos a asuntos significativos, e incluirán información suficiente y competente.
Cada observación deberá redactarse en forma narrativa, teniendo en cuenta para su presentación los aspectos siguientes:
1) Sumilla.
2) Elementos de la Observación:
2.a) Condición.
2.b) Criterio.
2.c) Efecto.
2.d) Causa.
3) Comentarios y/o aclaraciones del personal comprendido en las observaciones.
4) Evaluación de los comentarios y/o aclaraciones presentados.
Tal como lo dispone las Normas de Auditoria Gubernamental, el contenido del informe revelará cada observación considerando lo siguiente:
- Título que utiliza el hecho observado (sumilla).
- La situación irregular o deficiencia hallada (condición).
- Las normas transgredidas (criterio).
- Las razones fundamentales por la cual ocurrió la condición o el motivo por el que no se cumplió el criterio o la norma (causa).
- Los efectos reales y/o riesgos potenciales cuantitativos o cualitativos que ocasiona el hallazgo (efecto).
III. CONCLUSIONES
Juicios de carácter profesional, sustentados en las observaciones resultantes del examen efectuado.
IV. RECOMENDACIONES
Las recomendaciones constituyen las medidas sugeridas a la Gerencia de la Empresa examinada, orientada a promover la supera- ción de las observaciones o Hallazgos de la evaluación de la gestión.
V. ANEXOS
Se utilizará los anexos indispensables que competen o amplíen la información de importancia contenida en el mismo.
La exposición respecto a la evaluación del cumplimiento y aplicación de los controles Tecnológicos, deberá contener comentarios por cada Área y/o sistema examinado, las cuales se citarán en el informe, incluyendo los aspectos de incidencia.
Además deberá darse una apreciación crítica sobre el funcionamiento de cada área y sistema con relación a la Empresa considerada en su integridad.
TEMA N.° 3: HALLAZGOS DE AUDITORIA DE SISTEMAS
INTRODUCCIÓN
En esta sección de la asignatura aprenderás a escribir hallazgos de Auditoria de Sistemas tal cual lo hacen los Auditores de Sistemas profesionales.
1 FORMULACIÓN DE LOS HALLAzgOS DE AUDITORIA
1.1 Hallazgos de Auditoria
Como ya se mencionó, el trabajo del Auditor de Sistemas es identificar situaciones que originan riesgo y recomendar controles adecuados para su minimización.
Cuando el Auditor encuentra una situación de riesgo, escribe un Hallazgo de Auditoria. A continuación te presentaré los componentes de un Hallazgo de Auditoria:
Titulo
• Descripción
• Riesgo
• Recomendación
El titulo o sumilla presenta de forma precisa el hecho encontrado.
Cada hallazgo tiene 3 párrafos:
• La descripción presenta la situación o acto irregular que el Auditor detecto.
• El riesgo se refiere al daño que se ha originado o podría originarse si el riesgo se materializa.
• La recomendación es el control que el auditor propone para reducir el riesgo.
1.2 Hallazgo de Auditoria en el Sector público.
En la Auditoria a una empresa del Estado, se incluyen observaciones determinadas como consecuencia del trabajo de campo realizado y la aplicación de los procedimientos de Auditoria según el programa de auditoria. Las observaciones están referidas a asuntos significativos, e incluirán información suficiente y competente.
El formato del hallazgo se amplía a 6 párrafos, esto debido a que así lo exige la normatividad de la Contraloría General de la Republica.
Titulo
• Condición
• Criterio
• Causa
• Riesgo
• Recomendación
• Conclusión
El Título describe el hecho observado (sumilla).
Cada hallazgo tiene 6 párrafos:
• La situación irregular o deficiencia hallada (condición).
• Las normas transgredidas (criterio).
• Las razones fundamentales por la cual ocurrió la condición o el motivo por el que no se cumplió el criterio o la norma (causa).
• Los efectos reales y/o riesgos potenciales cuantitativos o cualitativos que ocasiona el hallazgo (efecto).
• La recomendación es el control que el auditor propone para reducir el riesgo.
• La conclusión es la conclusión del Auditor después de dar la oportunidad de réplica al auditado.
Las observaciones son evaluadas con las respuestas de los hallazgos comunicados a las personas comprendidas en los mismos, así como la documentación y evidencia sustentatoria respectiva.
1.3 Ejemplos de hallazgos de auditoria.
Ahora vamos a revisar algunos ejemplos de hallazgos de Auditoria.
Ejemplo 1:
150 PCs del parque informático de la Entidad cuentan con el Sistema Operativo Windows XP que ya no cuenta con soporte del fabricante.
De la revisión al parque informático de la Entidad, se encontró que existen 150 equipos informáticos que cuentan con el sistema operativo Windows XP. Dicho sistema operativo ya no es soportado por Microsoft desde el 08 de abril del 2014, lo cual significa que los equipos que aún cuentan con dicho sistema operativo se encuentran vulnerables, ya que el fabricante ya no emite parches de seguridad. La información completa del fin del soporte para el sistema operativo Windows XP se encuentra disponible en el sitio web oficial de Microsoft, en el link. http://windows.microsoft.com/en-us/windows/products/lifecycle#section_2
Esta situación expone a los equipos con dicho sistema operativo ya que no reciben actualizaciones de software ni parches de seguri- dad, lo que convierte a dichos equipos en altamente vulnerables a las amenazas informáticas tales como virus, gusanos, troyanos, spyware, rootkits, etc, lo que a su vez, podría originar falta de disponibilidad en dichos equipos y comprometer a los demás equipos conectados a la red.
Se recomienda que la Gerencia General disponga que la Gerencia de Tecnología de Información y Comunicaciones evalúe y planifi- que la renovación tecnológica de los equipos vulnerables o en su defecto se programe la migración del sistema operativo Windows XP instalado en los equipos de la Entidad a una versión más reciente y que cuente con el soporte de parches y actualizaciones vigentes.
Se puede apreciar que el Auditor ha escrito el título de la observación, de tal manera que al leerla no nos quede duda de que se trata la observación. Como dijimos, el titulo debe ser lo más preciso posible.
Luego del título, el primer párrafo pertenece a la descripción. Aquí el Auditor ha descrito la situación o debilidad encontrada que origina riesgo. En este caso encontró 150 equipos con Sistema Operativo cuyo fabricante (Micro- soft) ya no envía parches ya que esta fuera de soporte.
El segundo párrafo se refiere al riesgo que el auditor identificó. En este párrafo se describe claramente el riesgo identificado, en este caso, los equipos están expuestos a ataques informáticos.
El último párrafo del hallazgo se refiere a la recomendación del auditor. El auditor recomienda la implementación de algún tipo de control para minimizar el riesgo encontrado. En este caso el Auditor recomienda la renovación de los equipos o la migración a un Sistema Operativo más seguro.
Veamos un segundo ejemplo.
Ejemplo 2:
Se identificaron cuentas de personal cesado que permanecen activas en el Sistema ERP SAP.
Durante la revisión a la vigencia de los accesos en el sistema de información SAP, identificamos cuentas de usuarios de personal cesado, según el reporte de cese emitido por Recursos Humanos, que permanecen activos en el sistema SAP, tales como:
CÓDIGO EMPLEADO NOMBRES UNIDAD
ORGANIZACIONAL fECHA DE CESE MÓDULO SAP
795835 Bochelli, Andrea LOGISTICA 09/01/2016 Order
Management
795842 Boyle, Susan LOGISTICA 09/01/2016 Order
Management
795455 Riu, Andre CONTABILIDAD 31/03/2016 General Ledger
Esta situación incrementa el riesgo de accesos no autorizados al sistema, mediante el uso de cuentas de personal cesado que se man- tienen activas, después de su fecha de cese. El impacto asociado al riesgo identificado, dependerá de los permisos relacionados a los accesos asignados a cada una de las cuentas.
Se recomienda realizar un seguimiento sobre la desactivación de dichas cuentas de usuarios en el Sistema SAP y realizar un moni- toreo continuo sobre las cuentas de usuario de personal cesado.
En este segundo ejemplo, se puede apreciar que el Auditor nuevamente ha escrito el título de la observación, de tal manera que al leerla no nos quede duda de que se trata la observación. El titulo debe ser lo más preciso posible.
Luego del título, el primer párrafo pertenece a la descripción. Aquí el auditor debe escribir la situación encontrada.
El segundo párrafo se refiere al riesgo que el auditor identifico. En este párrafo se describe el riesgo identificado.
El último párrafo del hallazgo se refiere a la recomendación del auditor. El auditor recomienda la implementación de algún tipo de control para minimizar el riesgo encontrado.
Veamos un tercer caso.
Ejemplo 3:
El Centro de Datos presenta algunas debilidades a nivel de seguridad ambiental.
De la revisión al Centro de Datos de la Entidad, se encontró que dicho Centro cuenta con deficiencias a nivel de seguridad ambien- tal. Así tenemos las siguientes debilidades:
- Se encontró que el Centro permanece a una temperatura no adecuada.
- Se encontró un extractor de aire no instalado.
- Todos los equipos del Centro de Datos se encontraba cubiertos de polvo, ya que para ventilar el ambiente se mantiene la ventana del Centro que da la calle, permanentemente abierta.
- El Centro de Datos no cuenta con un falso piso no falso techo.
- Se cuenta con UPS individuales para cada servidor.
- No existe una bitácora de ingreso.
Esta situación podría originar el riesgo de malfuncionamiento de los Servidores y de los equipos de comunicación ubicados en dicho Centro, lo que podría originar a mediano plazo, interrupciones de los servicios y sistemas gestionados por la Oficina de Sistemas e Informática.
Se recomienda que la Gerencia General, disponga la evaluación de las acciones necesarias para que la Oficina de Sistemas e Infor- mática priorice las acciones necesarias para subsanar las debilidades encontradas.
En todos los casos se aprecia que el formato de la observación de auditoria se mantiene.
2 FORMULACIÓN DE LAS RECOMENDACIONES
Es importante que el Auditor escriba racionalmente las recomendaciones de cada uno de sus hallazgos. Las recomen- daciones deben ser escritas en forma clara y no deben escribirse recomendaciones que puedan significar un desembol- so significativo de dinero por parte del Auditado.
Veamos los siguientes ejemplos de recomendaciones:
Tabla 1
Formulaci{on de recomendaciones
fORMA INCORRECTA fORMA CORRECTA
Comprar un nuevo software Evaluar la factibilidad de adquirir un nuevo software
Reemplazar un Sistema de Información Disponer que la Gerencia General en conjunto con la Ge- rencia de TI evalúen la posibilidad de cambiar el Sistema de Información
Cambiar al Gerente de TI Disponer que la Gerencia de RRHH evalúe la conveniencia de reemplazar al Gerente de TI
Cambiar el 50% de las computadoras actuales del parque informático
Evaluar la factibilidad de cambiar el 50% de las computado- ras actuales del parque informático
3 FORMULACIÓN DEL INFORME DE AUDITORIA
3.1 El informe de Auditoria
El informe de Auditoria es el entregable final del trabajo de un Auditor. Típicamente es escrito en MS-Word y contiene los siguientes componentes:
• Antecedentes
• Objetivo
• Alcance
• Relación de Observaciones / Hallazgos
• Limitaciones a la auditoria
• Otros Aspectos de Importancia
• Conclusiones
3.2 Pasos para la presentación del Informe de Auditoria.
Una vez que el Auditor escribe el informe, éste estará en modo borrador.
El Auditor seguirá los siguientes pasos para la entrega del informe:
• El informe se enviara al auditado (normalmente el Gerente de Sistemas) para darle la posibilidad de que responda a los hallazgos encontrados.
• El Auditado revisará el informe y responderá a los hallazgos encontrados. Normalmente el Auditado se comprome- te a cumplir con las recomendaciones de los hallazgos en una determinada fecha. Sin embargo, en algunas ocasio- nes el Auditado podría oponerse a un determinado hallazgo, debido a que el Auditor se equivocó en el hallazgo o debido a que la recomendación es imposible de ejecutar, ya que podría ser no beneficioso para los intereses de la compañía.
• El Auditor se entrevista con el Auditado para discutir las respuestas del Auditado y resolver cualquier inquietud.
• El Auditor coordinará una entrevista final al más alto nivel de la Compañía (normalmente con el Gerente General) para la comunicación de los resultados de la auditoría
• Se cierra formalmente la Auditoria.
3.3 Ejemplo de Informe de Auditoria
INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMATICA
Del 1 de enero 2016 al 30 de marzo de 2016 ÍNDICE
Pág.
INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMATICA
I. Síntesis gerencial 2
II. INTRODUCCIÓN 3
2. Origen del examen 3
3. Naturaleza y objetivos del examen 4
4. Alcance del examen 4
Otros aspectos de importancia 4
III. HALLAZGOS 5
IV. CONCLUSIONES 10
Síntesis Gerencial
El presente Examen Especial comprende la evaluación de los Sistemas Informáticos con los que cuenta la Compañía, los mecanismos de seguridad informáticos, los mecanismos de contingencias y recuperación de desastres y la implantación del control interno en el departamento de Informática dentro del período del 01.01.16 al 31.03.16.
Las principales conclusiones del trabajo realizado son las siguientes:
1. El departamento de Informática realiza básicamente labores de soporte a los usuarios, no habiendo actividades de desarrollo de Sistemas.
2. El departamento de Informática no cuenta con normatividad esencial para su funcionamiento. Específicamente no cuenta con un Plan de Contingencias adecuado y además no cuenta con un Plan Estratégico de Sistemas.
3. Algunos procedimientos del área no se encuentran normados.
4. La ejecución del proceso del backup se considera expuesta a demasiado riesgo, toda vez que los backups no son almacenados adecuadamente en un lugar seguro.
Como resultado de esta acción de control se identificaron seis (6) hallazgos, y diversas deficiencias de control interno entre las que des- tacan las relacionadas con deficiencias en la seguridad física, ejecución de backups de software base y la documentación relacionada, por lo que con la finalidad de promover la superación de las causas que las motivaron, se proponen las siguientes recomendaciones tanto al Comité Directivo, Gerencia A, Gerencia B y Gerencia C.
I. INTRODUCCIÓN
A continuación se presenta información general sobre el presente Examen al Departamento de Informática de la Compañía.
1. Origen del examen
El Examen Especial al Departamento de Informática, por el período comprendido entre el 01.01.16 y 30.03.16, se realiza en cumpli- miento del Plan Anual de Control para el 2016 del Órgano de Control Institucional de la Compañía.
Es importante destacar que las áreas relacionadas con el Departamento de Informática no han sido materia de acciones de control posterior en los últimos dos años.
2. Naturaleza y objetivos del examen
Esta acción de control consiste en un Examen Especial y tiene como objetivos generales y específicos los siguientes:
Objetivo General
Evaluar el adecuado uso de las Tecnologías de Información incidiendo en software, hardware, comunicaciones, seguridad y control de calidad, así como evaluar la adecuada organización, planificación y administración del Área de Informática.
Objetivos específicos
a) Evaluar el Sistema Informático con el que cuenta la Compañía, determinando si los aplicativos actuales satisfacen las necesidades de la Compañía, la interrelación de sus aplicativos, su grado de funcionamiento y los controles implementados.
b) Evaluar los mecanismos de Seguridad Informáticos implantados en la Compañía para asegurar la integridad de la información y de los recursos informáticos de la Compañía.
c) Evaluar los mecanismos de Contingencias y recuperación de desastres de la Oficina de Informática para minimizar los riesgos de interrupciones y/o paralizaciones en el servicio.
d) Determinar el grado de cumplimiento del sistema de Control Interno del departamento de Informática.
3. Alcance del examen
El alcance del Examen Especial al Departamento de Informática está referido a todas las acciones de control posterior y demás activida- des desarrolladas para lograr un adecuado y oportuno funcionamiento de los sistemas de la Compañía, ejecutadas durante el periodo comprendido entre el 01.01.16 y 30.03.16.
De acuerdo con el Plan Anual de Control 2016, los procesos ó áreas a ser examinados serán la administración eficiente de los recursos destinados al desarrollo de actividades del Departamento de Informática; el nivel de seguridad de los recursos informáticos, el nivel de cumplimiento de objetivos del área; aplicación de las normas legales e internas que regulan la labor de informática y la realización de